Bitte löschen

Zvoni

Erfahrenes Mitglied
Sieht gut aus.
Hätte nur 2 Bemerkungen (die jetzt aber mit "Sicherheit" nur bedingt was zu tun haben):
1) in der sshd_config hast du deine "AllowUsers"-Klausel mit Name und IP --> dir ist klar, das funktioniert nur, wenn der Rechner, von welchem du einloggst eine statische IP hat? Wenn du DHCP hast lass die IP weg.
Dir ist bekannt, dass du in der sshd_config auch per Gruppe (Bsp. SSHUSERS) erlauben/verweigern (anstatt per User) kannst?

2) Deine Modifikation für sudoers. Bin kein Freund von expliziten Rechtevergaben per Username (siehe auch Punkt 1). Hätte jetzt eher auf Gruppenebene (Bsp. Gruppe WHEEL bzw. einfach eine Gruppe SSHUSERS anlegen, Mitglieder rein, fertig)) die Modifikation gemacht.

EDIT
3) Zum Thema Firewall: Ist so ne Sache in der heutigen Zeit, da ja die meisten User ja nicht mehr direkt mit dem Internet verbunden sind (im Gegensatz zu ISDN-Zeiten vor 20 Jahren) sondern hinter einem Router sitzen (welcher eine mehr oder weniger gute eigene Firewall hat). Und genau aus diesem Grund sind die Kenntnisse wie eine Firewall richtig einzustellen ist im breiten Volk ziemlich verloren gegangen.
 
Zuletzt bearbeitet:

Zvoni

Erfahrenes Mitglied
Jein, es ist wichtig solche Server "safe" aufzusetzen, sofern "fremde" Personen darauf zugreifen sollen/dürfen, wie z.Bsp. eine Webseite.
Ein Zugriff ausschliesslich aus dem lokalen Netzwerk ist eben nicht so kritisch, weil ja zwischen lokalem Netzwerk und dem Internet (wo die bösen Buben beheimatet sind) ja unter Umständen tatsächlich eine Firewall ist (rudimentär im Internet-Router oder dedizierter Rechner als Router inkl. 10 Meter dicker "great Firewall of China").
Die Angriffsstellen sind dann eher falsch konfigurierte "Zugänge" zum Internet.
Bsp. FTP-Server.
Fängt allein schon damit an, dass nicht FTPS/SFTP verwendet wird, sondern plain FTP, bei welchem dann die Login-Daten (Username und Passwort) in Klartext übermittelt werden. Oder dass der FTP-Server selbst keine chroot-Klausel hat (In diesem Zusammenhang nenne ich mal das Stichwort "Jail").
Oder bei einem öffentlich zugänglichen Verzeichnis die "777" zu setzen.

Im ersten Schritt sollte man daher eher wissen:
Wofür will ich diese Kiste einsetzen? Nur Webseite (Apache/PHP)? Nur Datenbank (MySQL)? Beides?
Dann als nächstes:
Von wo soll darauf zugegriffen werden? Aus dem Internet? Nur lokales Netzwerk? Beides?
Dritter Schritt:
Wie soll darauf zugegriffen werden (http, https, ftp, nfs, samba etc.)?
Erst im vierten Schritt:
OK, wer soll darauf zugreifen dürfen (mit welchem Werkzeug)?

Das Problem, ist, dass die "Anwendungs"-Landschaft solcher Server heutzutage immer mehr heterogen wird, dass es eigentlich fast kein "Schema F" mehr gibt, und man/frau es sich selbst erarbeiten muss, und dann eben über deine genannten "Fragmente" sich das mühsam zusammen suchen muss.

Und ich habe jetzt noch nichtmal erwähnt: Welches Betriebssystem soll zum Einsatz kommen bzw. Für das genannte Szenario ist welches OS am besten geeignet?

EDIT
Nur um dir mal ein Beispiel zu nennen:
Ich soll dieses Jahr bei uns im Verein, eine Server-Infrastruktur aufbauen.

Zwei Server, auf welchen auf beiden MySQL läuft und sich gegenseitig replizieren (Backup der Daten).
Auf beiden Servern wird GlusterFS installiert, so dass alle zusätzlichen Festplatten in den Servern als 1 Samba-Share exportiert werden kann.
Auf einem Server der beiden soll aber noch der Apache/PHP laufen für das Intranet. Auf dem anderen Server soll aber der FTP-Zugang eingerichtet werden, für Down-/Upload von Daten aus dem Internet für benannte User.
Jetzt soll im Laufe des Jahres noch ein dritter Server dazukommen, auf welchem dann NextCloud mit dem vollen Brimborium installiert werden soll (Apache, PHP, MySQL). Aber eben auch nur das.
Ich weiss jetzt schon, dass der Zugang auf diesen dritten Server auch vom Internet möglich sein soll.

Deshalb weiss ich auch jetzt schon, dass etwaige auf diesem NextCloud-Server angelegte User, definitiv keinen Zugriff auf die anderen beiden Server haben werden bzw. der Zugriff auf vielleicht maximal 2 Leute eingeschränkt werden wird (Und damit meine ich Login-Zugriff, nicht Zugriff für einen Kunden, der vom Internet aus einen Download-Link öffnet --> NextCloud ist so etwas wie DropBox aber mit eigenem Server).

Planung der ganzen Sache ist schon die halbe Miete.
Wie man dann die Zugriffswerkzeuge konfiguriert, dass ist eben diese mühsame Schnitzeljagd, welche nicht einfacher wird, wenn Server 1 unter Manjaro, Server 2 und Server 3 unter FreeBSD laufen, während die Clients, die im lokalen Netzwerk zugreifen dürfen, von Linux über Mac bis zu Windoof10 reichen
 
Zuletzt bearbeitet: